[LACNIC/Seguridad] [LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

[Carlos M. Martinez]

Hola,

On 5/13/14, 6:01 PM, Iván Arce wrote:
> La mejor práctica de seguridad es desactivar IPv6 (y cualquier otra
> funcionalidad no necesaria) y solo activarlo en el caso de que sea
> necesario o requerido.

¿Deshabilitar donde? ¿En el 100% de los dispositivos que se conectan a
tu red?

Esta discusión es abstracta desde el momento que la recomendación no es
accionable. Entiendo perfectamente porque genera controversia en el IETF.

> 
> Ciertamente no es la mejor práctica para promover la adopción de IPv6 en
> el mundo pero si es la mejor práctica de seguridad.

IPv6 en redes corporativas puede seguir sin desplegarse nunca y el mundo
va a seguir igual, no es ahi donde se juega el partido de IPv6.

Mi punto va al corazón del argumento. Creo que deshabilitar ipv6 como
recomendación 'blank' así a secas ignora el comportamiento humano de
quienes administran esas redes, genera complacencia y por ello una
debilidad estructural en esas mismas redes que se intenta proteger, ya
que la recomendación en sí es abstracta.

s2

Carlos

> 
> 
> -ivan
> 
> 
> On 5/13/14 2:53 PM, Arturo Servin wrote:
>>
>> También que la seguridad es tan buena como el eslabón más débil, en
>> estos casos el dispositivo del usuario que trae IPv6 activado por
>> default y que el administrador no tiene control sobre él.
>>
>> Creo que la medida no es desactivar IPv6, si no asegurar que la red esta
>> protegida ante ataques IPv6 aunque solo se use IPv4. Esa debe ser la
>> mejor práctica.
>>
>> .as
>>
>>
>>
>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>